En entradas
anteriores (ésta y ésta) hicimos una primera aproximación al concepto de
identidad soberana. Tratándose de un concepto tan estrechamente relacionado con
la personalidad, anticipamos que dedicaríamos una segunda entrada a hacer un
estudio que no pretende ser una disertación, pero sí ofrecer una suerte de
análisis de las implicaciones que en la utilización de los distintos proyectos
o sistemas de gestión de la identidad soberana tiene el cumplimiento de la
normativa relativa al derecho a la protección de los datos de carácter
personal.
El Reglamento
General de Protección de Datos 679/2016 y la Ley Orgánica de Protección de
Datos y Garantía de los Derechos Digitales han obligado a los distintos
ordenamientos jurídicos a reconfigurar su mirada sobre aspectos que influyan en
la esfera personal de las personas físicas.
Se ha
convertido en un lugar común que la tecnología de registros distribuidos (DLT,
en sus siglas en inglés), y en particular blockchain, casa difícilmente con los
principios en los que se asienta la regulación de los datos personales en la
Unión Europea y los derechos que dicha regulación reconoce a los interesados.
La identidad
soberana, al entender de muchos expertos, es la pieza clave en una potencial
generalización en el uso de la tecnología DLT (Distributed Ledger Technology) por una sociedad cada vez más
tolerante con la irrupción de nuevas maneras de afrontar problemas persistentes
y llevar a cabo acciones cotidianas. Sin embargo, esa, cada vez, mayor
tolerancia con las nuevas tecnologías ha ido, afortunadamente, unida a una
mayor conciencia sobre la importancia de preservar la intimidad en un medio
cada vez más interconectado en el que los datos se han convertido en una suerte
de materia prima para quienes puedan o quisieran sacar de ella importantes
beneficios económicos.
Como es
natural, haremos la lectura basándonos en los aspectos recogidos en la
normativa Española, esto es la Ley Orgánica 3/2018 de Protección de Datos y de
Garantía de los Derechos Digitales, de 5 de diciembre (LOPD); y ello sin obviar
las continuas remisiones que la ley hace al Reglamento General de Protección de
Datos (RGPD) 2016/679.
La LOPD recoge
los mismos principios que el RGPD, principios que sirven de base a la
protección de los datos de carácter personal que sería consecuencia del
cumplimiento de las medidas, precauciones y derechos que se prevén en las
distintas normativas.
El principio
fundamental sobre el que se construye la nueva visión de la protección de datos
que constituye el RGPD es el de Proactividad
o Cumplimiento Proactivo (Accountability
en inglés). Según este principio, el responsable del tratamiento deberá llevar
a cabo cuantas acciones fueren necesarias y pertinentes para que los datos de
los interesados estén suficientemente protegidos, no perdiendo de vista, como
es obvio, la distinta protección que requieren los distintos tipos de datos
personales. Según este principio, los responsables no sólo deberán cumplir,
sino además, acreditar dicho cumplimiento; normalmente por medio de la
elaboración de documentación que recoja las precauciones tomadas por el
responsable para proteger los datos personales que son objeto de tratamiento
por su parte o por parte de los encargados de tratamiento que con el mismo
contraten.
En lo que se
refiere al tratamiento de la identidad soberana en blockchain, este principio
debería traducirse en la adopción de todas aquellas medidas que fueren precisas
para que los datos personales del interesado no estuviesen en riego como
consecuencia del tratamiento del responsable.
Todas estas
medidas o precauciones que deben tomarse como consecuencia del cumplimiento del
principio de cumplimiento proactivo, deben estar, además, condicionadas por el
resto de principios consignados en la LOPD y en el RGPD.
Lo primero que
debemos determinar es quién es el interesado, quién el responsable del
tratamiento y quién el encargado del tratamiento en el ámbito que nos interesa.
El interesado es el dueño de los datos personales, esto es, la persona física a
quien los datos identifican o hacen identificable. En esta hipótesis, quien
requiere los datos personales del interesado será el responsable de los mismos
desde que los recibe; pero no podemos obviar que con anterioridad ha debido
existir otro responsable, el encargado de verificar que los datos que se
remiten a través de la cadena de bloques se adecúan a la realidad. Sin embargo,
para una mayor amenidad de la explicación dejaremos esta relación previa al
margen. Así, tenemos que el responsable ha recibido una serie de datos del
interesado, datos que constituye lo que, en anteriores entradas, hemos venido a
considerar el contenido de su Identidad Soberana y que, con arreglo a lo
anteriormente expuesto, deberá disponer con toda la diligencia posible todas
las medidas que fueren precisas para la integridad y protección de los datos
personales objeto de su tratamiento.
El segundo de
los principios a los que debemos hacer mención es el de transparencia. Este
principio implica que el tratamiento de los datos deber ser, como comienza el
considerando 39 del RGPD, lícito y leal. El principio de transparencia implica,
así mismo, que el interesado haya sido convenientemente informado de los
aspectos vitales del tratamiento. Esto es, de los datos que van a ser tratados,
de la identidad del responsable, de la finalidad de tratamiento y de los riesgos
y salvaguardas adoptadas con relación al tratamiento.
Esta
transparencia es precisa para que la base de legitimación del tratamiento se
consolide, especialmente si dicha base es el consentimiento del interesado al
tratamiento. Tener el conocimiento de los aspectos que conlleva el principio de
transparencia es vital para que el consentimiento del interesado cumpla los
requisitos que requiere el RGPD, esto es, que se trate de un acto afirmativo
que refleje una manifestación de voluntad libre, específica, informada e
inequívoca del interesado (considerando 32 RGPD).
En el ámbito
de la identidad soberana, la transparencia y el consentimiento implican que el
interesado –el dueño de los datos- tenga conocimiento de para qué se le
requieren los datos, de qué datos son los que cede, qué se hará con ellos y
quién es el responsable. En esta fase, la base de legitimación suele
corresponderse con el consentimiento, pues es el propio interesado quien cede
los datos para algún objeto en particular, sin embargo no pueden obviarse otras
bases, como la de la existencia de un vínculo contractual entre las partes.
El siguiente
de los principios que deben ser ponderados es el de minimización de los datos
tratados. En virtud del mismo, el responsable sólo podrá requerir al
interesado o podrá solicitar aquellos datos que fueren necesarios para el
tratamiento en cuestión, atendiendo a la finalidad de éste. Este principio
encarna la orientación del nuevo reglamento de protección de datos, pero
también representa una de las mayores ventajas que supone la identidad soberana
relacionada con la tecnología blockchain (o DLT en general). Dicha ventaja,
como pusimos de manifiesto en una entrada anterior, consiste en la posibilidad
que ofrece la identidad soberana de transmitir o ceder sólo aquellas partes de
la identidad soberana que sirvan al responsable para verificar la identidad del
interesado. Así, en el monedero en que se conserven los distintos archivos que
construyen la identidad total o íntegra del interesado, se preverá la
posibilidad de ceder sólo aquellos que sean necesarios para acreditar la
personalidad en los ámbitos precisos para el tratamiento que deba realizar el
responsable del mismo. Así la minimización de los datos personales no sólo
representa un principio básico de la protección de datos de carácter personal
sino que también supone un elemento crucial de la base de funcionamiento de la
identidad soberana.
Unido a este
aspecto estaría el principio de exactitud de los datos. En efecto,
el reglamento requiere al responsable que tome las medidas que estime
necesarias para que los datos siempre estén actualizados, de modo que los datos
de que dispone para el tratamiento siempre sean los que mejor representen la
realidad identitaria del interesado. En el ámbito de la identidad soberana en
blockchain este aspecto también se prevé y, además, en una doble vertiente. Por un lado, el responsable del
tratamiento está obligado a la atención a los derechos de rectificación y
acceso de los datos personales del interesado. Por otro lado, como anticipamos
en una entrada anterior, el interesado acudirá a distintos verificadores para
que acrediten los aspectos de su personalidad física que quiera unir a su
identidad soberana. Por lo tanto, un cambio en las condiciones puede exigir un
cambio en los archivos acreditativos de la personalidad, y dicha actualización
puede ser exigida por el mismo verificador o por el interesado, a quien puede
beneficiar que los atributos de su personalidad digital representen exactamente
en cada momento la realidad de su personalidad.
El siguiente
es el principio de limitación del tratamiento en virtud del cual los datos
personales del interesado sólo podrán ser tratados con la finalidad para la
cual fueron adquiridos, sin que pueda, en caso alguno, extenderse a
tratamientos ajenos a los permitidos por la base de legitimación gracias a la
cual se recibieron los datos. De acuerdo con este principio, el responsable que
haya recibido del interesado ciertos datos relativos a su personalidad, sólo
podrá utilizar éstos para el fin para el que fueron solicitados. Por lo tanto,
en la solicitud de información que se haga por el responsable al interesado
deberá determinarse la finalidad del tratamiento y, de acuerdo con ella, el
interesado remitirá al responsable, tal y como hemos visto con anterioridad, la
información necesaria. Por lo tanto, una vez recibida la información y tratada
de acuerdo con lo informado, el responsable deberá eliminar la información
recibida, sin perjuicio de la posibilidad que le ampara de volver a requerir de
información al interesado si fuese preciso; esto entronca con otro de los
principio que debemos mencionar, el de limitación en la conservación de los datos.
Aquí es donde, la propia definición de Blockchain choca con la protección de
datos. Si entendemos que Blockchain se trata de un registro que, entre otras
condiciones, en inmutable ¿cómo va a desaparecer la información que los agentes
se intercambian? Por supuesto, el encriptado de la información es ya una ayuda
importante en el cumplimiento de la confidencialidad e integridad de los datos
(último de los principios que debemos mencionar), pero no es suficiente. Pues bien,
con relación a este aspecto, algunos de los gestores de SSI (identidad
soberana) prevén que el acceso a la información se realice fuera de la cadena
de bloques, en un “microrregistro privado” (conexión privada por pares) al que
solo accedan las partes y que sea dicha consulta de la DID del interesado la
que forme parte de la cadena de bloques, y esto será posible porque los
gestores de SSI se estructuran en distintas capas, lo que permite que los datos
personales en sí mismos no consten en la cadena de bloques, sino el resultado
de una consulta realizada a las credenciales acreditadas de los sujetos; así,
los datos personales se conservan exclusivamente en el monedero del interesado.
Además de lo
anterior, los gestores de identidad soberana deberán basar el tratamiento de
sus datos en la seudonimización siempre que cierta información haya de
trascender de las conexiones privadas; así, aunque las cadenas de bloques sean
permisionadas, los datos que pudiesen inscribirse dejarán de ser datos
personales pues no harán identificables a una persona física.
Por último,
hay que mencionar el principio de privacidad por diseño y privacidad
por defecto. Con relación al mismo, los distintos agentes de gestión de
identidad soberana deberán velar porque sus procesos respeten los principios
mencionados y que forman los pilares de la normativa de protección de datos y,
por supuesto, que todos aquellas acciones que puedan poner en riesgos los datos
personales de una persona física sean tomadas conscientemente por ésta una vez
recibida la información precisa.
Así, aunque
consideramos que la generalización en el uso de la identidad soberana será el
elemento fundamental del uso del blockchain en la cotidianidad del futuro, no
hemos de obviar que el uso de la misma debe ser siempre adecuada a la normativa
de protección de datos, pues no olvidemos que la protección de dichos datos constituye
un derecho fundamental de la persona.
Octavio Gil Tamayo
Abogado